Delen via


Azure-beveiligingsbasislijn voor Azure Resource Manager

Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op Azure Resource Manager. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingsbesturingselementen die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Resource Manager.

U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.

Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Functies die niet van toepassing zijn op Azure Resource Manager zijn uitgesloten. Als u wilt zien hoe Azure Resource Manager volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige Azure Resource Manager-toewijzingsbestand voor beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Azure Resource Manager, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie MGMT/Governance
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant False
Inhoud van klanten in rust opgeslagen False

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-2: Cloudservices beveiligen met netwerkbesturing

Functies

Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Privé-eindpunten implementeren om een privétoegangspunt tot stand te brengen voor het beheren van de resources in de hoofdbeheergroep (tenant).

Opmerking: ResourceBeheer Private Link resources kunnen worden verbonden met een privé-eindpunt om veilige, persoonlijke toegang voor het beheren van Azure-resources mogelijk te maken.

Naslaginformatie: Een privékoppeling maken voor het beheren van Azure-resources

Openbare netwerktoegang uitschakelen

Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Opmerkingen bij de functie: Azure Resource Manager ondersteunt privéconnectiviteit via Azure-privé-eindpunten en de Resource Management Private Links-resource. De mogelijkheid om openbare netwerktoegang uit te schakelen is echter nog niet beschikbaar.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Bevoegde toegang

Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.

PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Gegevens-in-transitversleuteling

Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Migreren naar TLS 1.2 voor Azure Resource Manager

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met behulp van platformsleutels

Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Asset-management

Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.

Naslaginformatie: Azure Policy ingebouwde definities voor Azure Resource Manager

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.

LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service-/productaanbiedingen

Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Microsoft Defender voor Resource Manager controleert de resourcebeheerbewerkingen in uw organisatie, ongeacht of deze worden uitgevoerd via de Azure Portal, Azure REST API's, Azure CLI of andere programmatische Azure-clients. Defender voor Cloud voert geavanceerde beveiligingsanalyses uit om bedreigingen te detecteren en u te waarschuwen over verdachte activiteiten.

Naslaginformatie: Overzicht van Microsoft Defender voor Resource Manager

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.Resources:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel resourcelogboeken in voor Azure Resource Manager. Wanneer u resources in Azure maakt en beheert, worden uw aanvragen ingedeeld via het besturingsvlak van Azure, Azure Resource Manager. Met resourcelogboekregistratie kunt u het volume en de latentie van aanvragen voor het besturingsvlak naar Azure bewaken. Met deze metrische gegevens kunt u verkeer en latentie voor aanvragen van besturingsvlakken in uw abonnementen observeren. U kunt nu bijvoorbeeld achterhalen wanneer uw aanvragen zijn beperkt of mislukt door te filteren op specifieke statuscodes.

Naslaginformatie: Metrische gegevens van Azure Resource Manager in Azure Monitor

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Functieopmerkingen: Azure Resource Manager sjabloonexport kan niet worden gebruikt om data-at-rest vast te leggen. Voor resourceconfiguraties raden we u aan infrastructuur te maken op basis van bronsjablonen en indien nodig opnieuw te implementeren vanuit die bron van waarheid. Sjabloon exporteren kan helpen bij het opstarten van dat proces, maar het is niet robuust genoeg om rekening te houden met herstel na noodgevallen.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen